개인정보보호위원회, 과징금·과태료 부과 결정
“안전조치 의무 위반, 개인정보 관리·감독 허술”
SKT “유감”…불복 여부에 대해선 “검토” 입장

고학수 개인정보보호위원회 위원장이 28일 서울 종로구 정부서울청사에서 SK텔레콤 개인정보 유출사고 제재처분 의결과 관련해 브리핑하고 있다. 연합뉴스

개인정보보호위원회가 SK텔레콤 해킹 사고에 대해 역대 최대 규모인 1348억 원의 과징금을 부과했다.

개인정보위는 지난 27일 전체회의를 열고 개인정보보호 법규를 위반한 SK텔레콤에 대해 과징금 1347억 9100만 원과 과태료 960만 원을 각각 부과했다고 28일 밝혔다. 이번 과징금 규모는 개인정보위가 2020년 출범한 이후 최대 규모다.

개인정보위는 SK텔레콤이 다수의 안전조치 의무를 위반해 2300만이 넘는 가입자 대부분의 주요 디지털 개인정보인 휴대전화번호, 가입자식별번호(IMSI), 유심인증키 이런 정보 등이 유출된 것을 확인했다고 밝혔다. 또 유출사고 발생 이후 피해 확산 방지를 위한 개인정보 유출 통지를 지연했고 통신 인프라 영역에 대한 개인정보보호 관리·감독도 “매우 허술하게 이뤄지고 있었다”고 지적했다.

개인정보위에 따르면 이번 해킹사고로 SK텔레콤의 LTE·5G 서비스 전체 이용자 2324만 4649명(알뜰폰 포함·중복 제거)의 휴대전화번호, 가입자식별번호(IMSI), 유심 인증키(Ki·OPc) 등 25종의 정보가 유출됐다. 휴대전화번호를 기준으로 한 유출 규모는 약 2696만 건으로 파악됐으나, 법인·공공회선·다회선 등을 제외한 수가 이용자 수로 산정됐다.

조사 결과 해커는 2021년 8월 SK텔레콤 내부망에 처음 침투해 다수 서버에 악성 프로그램을 설치했다. 2022년 6월에는 통합고객인증시스템(ICAS) 내에도 악성프로그램을 설치해 추가 거점을 확보했다. 이후 해커는 올해 4월 18일 홈가입자서버(HSS) 데이터베이스(DB)에 저장된 이용자 개인정보 9.82GB를 외부로 유출했다.

개인정보위는 해킹 사고와 관련, SK텔레콤이 기본적인 보안 조치를 제대로 하지 않았고 관리에도 소홀했다고 지적했다. 인터넷·관리·코어·사내망을 동일한 네트워크로 연결해 운영하면서 국내외 인터넷망에서 내부 관리망 서버로 접근을 제한 없이 허용했다는 설명이다. 또 침입탐지 시스템의 이상 행위 로그도 확인하지 않는 등 불법적인 유출 시도에 대한 탐지·대응 조치를 소홀히 했다고 밝혔다.

특히 SK텔레콤은 2022년 2월 해커가 HSS 서버에 접속한 사실을 확인하고도 비정상 통신 여부나 추가 악성프로그램 설치 여부, 접근통제 정책의 적절성 등을 점검하지 않아 유출 사고를 막을 기회를 놓친 것으로 드러났다. HSS에서도 비밀번호 입력 등 인증 절차 없이 개인정보를 조회할 수 있도록 운영했다. 이 때문에 해커는 획득한 계정정보를 활용해 관리망 서버에 접속, 악성프로그램을 설치하고 HSS DB 내 개인정보를 손쉽게 조회·추출했다.

개인정보위는 SK텔레콤이 기본적인 보안 업데이트도 하지 않아 유출 사고에 무방비로 노출됐다고 밝혔다. 해커가 악성프로그램(BPFDoor) 설치에 활용한 운영체제(OS) 보안 취약점(DirtyCow)은 이미 9년 전인 2016년 10월 보안 경보가 발령됐고, 보안 패치도 공개된 사항이었다. SK텔레콤은 이런 사실을 알았지만 같은 해 11월 해당 취약점을 가진 OS를 설치했고, 올해 4월 유출 당시까지도 보안 업데이트를 하지 않았다.

SK텔레콤은 가입자 인증과 이동통신 서비스 제공에 필수 인증정보인 유심 인증키(Ki) 2061만 4363건을 암호화하지 않았다. 이를 평문으로 HSS DB 등에 저장해 해커가 유심 복제에 사용할 수 있는 유심 인증키 원본을 그대로 확보할 수 있었다.

SK텔레콤은 또 사내 개인정보보호책임자(CPO)의 역할을 IT 영역에 한정 운영해 유출 사고가 발생한 인프라 영역은 CPO가 개인정보 처리 실태조차 파악하지 못했던 것으로 드러났다. 해킹 사실 통지도 늦었다. 개인정보보호 법규는 72시간 내 개인정보가 유출된 이용자를 대상으로 유출 사실을 통지하도록 규정하지만, SK텔레콤은 이를 지키지 않았다. 개인정보위가 지난 5월 2일 즉시 유출통지를 할 것을 의결했으나 SK텔레콤은 같은 달 9일 유출 가능성에 대해서만 통지했다. 지난 7월 28일이 돼서야 유출 확정 통지를 했다.

개인정보위는 SK텔레콤에 과징금·과태료 제재와 함께 유출 사고 재발 방지를 위해 이동통신 서비스 전반의 개인정보 처리 현황을 면밀히 파악해 안전조치를 강화하고, CPO가 회사 전반의 개인정보 처리 업무를 총괄할 수 있도록 거버넌스 체계를 정비하라고 시정명령을 했다. 개인정보위는 SKT 해킹사태와 같은 유사 사례가 재발하지 않도록 대규모 개인정보 처리자에 대한 관리·감독을 강화하고, 개인정보 안전관리 체계 강화방안을 마련해 9월 초 발표할 예정이다.

SK텔레콤은 개인정보위의 과징금 부과에 대해 유감이라는 입장을 밝혔다. SK텔레콤은 28일 발표한 입장문에서 “조사 및 의결 과정에서 당사 조치 사항과 입장을 충분히 소명했음에도 결과에 반영되지 않아 유감”이라며 “향후 의결서 수령 후에 내용을 면밀히 검토해 입장을 정할 예정”이라고 밝혔다. 이어 “이번 결과에 무거운 책임감을 갖고 있으며, 모든 경영활동에 있어 개인정보 보호를 핵심 가치로 삼고 고객정보 보호 강화를 위해 만전을 기하겠다”고 덧붙였다. 개인정보위 결정에 불복해 법적 대응에 나설지 여부에 대해서는 “의결서를 수령한 후 내용을 면밀히 검토해 입장을 정하겠다”고 밝혔다.

김종우 기자 kjongwoo@busan.com